【wireshark实验】分析中间人攻击

最新推荐文章于 2024-06-28 16:22:58 发布
最新推荐文章于 2024-06-28 16:22:58 发布
阅读量1.7k 收藏 10
点赞数
分类专栏: # 协议分析
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/116139586
版权

文章目录

0x01 中间人攻击的相关理论

  • 中间人攻击的目标并不是交换机,而是终端设备(例如计算机、手机等)。在每一台终端设备中都有一个ARP缓存表,这个表中保存了一些IP地址和MAC地址之间的对应关系。
  • 通常应用程序只能通过IP地址进行通信,但是在内部网络中使用的交换机却不能识别IP地址。因此每一台终端设备在发送应用程序产生的数据包时,必须在它里面添加上一个MAC地址。而这个MAC地址是哪里来的呢?

0x02 ARP协议小实验

  • 数据包在局域网内部是无法使用IP地址进行通信的,因为局域网中的连接设备只能识别MAC(硬件)。但是应用程序发出的数据包中往往只包含了目标的IP地址,此时就需要由ARP程序来找到数据包目的IP地址对应的MAC地址。
  • 在每一台计算机中都存在有一个ARP缓存表,这个表动态地保存了一些IP地址和MAC地址的对应关系。当计算机接收到一个数据包之后,就会通过ARP程序在这个表中查找包中IP地址所对应的表项,然后根据这个表项在数据包中再添加MAC地址。
  • 如果没有在缓存表中找到对应的表项,ARP程序就会在局域网中进行广播,询问网络中是否存在这样一个IP地址。如果局域网中有计算机使用了这个IP地址,那么它就会回应一个包含了自己MAC地址的信息,这样计算机就可以将这个信息添加到自己的ARP缓存中,并将这个数据包填写好目的MAC地址发送输出。

我们抓取本机的arp包,限定协议为arp并且mac地址为本机的

arp and eth.addr==00-BB-60-07-75-A6

这时候因为的arp缓存表中有网关10.8.0.1的mac地址,所以arp协议不是广播的而是指定目标mac地址
在这里插入图片描述在这里插入图片描述

这时候我们使用-d参数来清除arp缓存表
在这里插入图片描述

再查看wireshark抓取的数据包发现,发往10.8.0.1的arp数据包变成了广播的,因为此时arp缓存表中不存在10.8.0.1的mac地址表项,ARP程序在局域网中进行广播,询问网络中是否存在这样一个IP地址。

而下一个数据包由10.8.0.1回应一个包含了自己MAC地址的信息,本机将这个信息添加到自己的ARP缓存中,并将这个数据包填写好目的MAC地址发送输出。所以之后发往10.8.0.1的数据包都指定了mac地址而不是广播。
在这里插入图片描述

0x03 ARP欺骗实验

  • ARP协议简单高效,但是这个协议存在一个重大的缺陷,就是这个过程并没任何的认证机制,也就是说如果一台主机收到ARP请求数据包,形如“注意了,我的IP地址是192.168.1.100,我的物理地址是22:22:22: 22: 22:22,IP地址192.168.1.2在吗,我需要和你进行通信,请告诉我你的物理地址,收到请回答!”的数据包,但并没有对这个数据包进行任何真伪的判断,无论这个数据包是否真的来自192.168.1.100,都会将其添加到ARP表中。因此黑客就可能会利用这个漏洞来冒充网关等主机。

实验机器

kali2020:192.168.43.147
win10:192.168.43.114
网关:192.168.43.1

先使用kali的wireshark开始监听,并设置显示过滤器只显示win10的数据包

ip.addr == 192.168.43.114

在这里插入图片描述
此时win10上网kali并不能抓到win10的数据包
在这里插入图片描述
使用kali的ettercap进行arp欺骗
在这里插入图片描述
探测局域网存活主机
在这里插入图片描述
设置win10为目标1,设置网关为目标2
在这里插入图片描述
开始arp欺骗
在这里插入图片描述
此时kali成功抓取到了win10的数据包
在这里插入图片描述
过滤oicq协议成功获取登录在win10的qq信息

ip.addr == 192.168.43.114 && oicq

在这里插入图片描述
查看win10arp缓存表,网关地址成功被替换为kali的mac地址,arp欺骗成功
在这里插入图片描述

0x04 wireshark专家模式以及arp欺骗分析

  • 这里我们要使用Wireshark 中的一个强大的智能功能——专家系统。其实在上面的数据包文件中,不仅仅是我们发现了问题,Wireshark也同样发现了问题。而且 Wireshark比起我们来说拥有更大的优势,因为它的处理速度远不是手工可以相比的。

专家模式暂停抓包才能使用
在这里插入图片描述
点击左下角圆圈打开专家模式
在这里插入图片描述

在这里插入图片描述
可以发现,wireshark成功发现了此次arp欺骗攻击
在这里插入图片描述

我们分析一下00-0c-29-ef-29-24这个mac地址

arp.src.hw_mac == 00-0c-29-ef-29-24

可以发现192.168.43.1(网关)和192.168.43.114(win10)的mac地址都被回应是00-0c-29-ef-29-24,并且arp是一问一答,而这里一个请求包回应了多个arp响应,我们可以初步判定两个目标都被arp欺骗
在这里插入图片描述

0x05 防御中间人攻击

10.4.1静态绑定ARP表项
10.4.2使用DHCP Snooping功能10.4.3划分VLAN
10.4.4 ARP防火墙

0x06 其他

arp数据包,请求包的opcode字段为1,回应包的opcode字段为2
在这里插入图片描述
在这里插入图片描述
那么我们就能用arp.opcode == 0x0001来筛选请求包,用arp.opcode == 0x0002来筛选回应包
在这里插入图片描述

天问_Herbert555
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全培训班作业 | WireShark抓包分析&ettercapdns中间人攻击
Ms08067安全实验室
08-27 328
文章来源|MS08067 Web安全培训班第1节课作业本文作者:sererdipity(Web安全培训班1期学员)按老师要求尝试完成布置的作业如下:1、使用WireShark抓包,根据实际...
Web安全班作业 | WireShark抓包ARP报文分析并实施ARP中间人攻击
Ms08067安全实验室
09-15 2743
文章来源|MS08067 SRC漏洞实战班课后作业本文作者:某学员A(SRC漏洞实战班1期学员)按老师要求尝试完成布置的作业如下:一、使用WireShark抓包,根据实际数据包,分析ARP...
7.Wireshark学习-使用Wireshark分析中间人攻击
Daylight
07-12 2275
7. 分析中间人攻击 中间人攻击又被简称为NITM攻击,这是一种很有意思的攻击方式。攻击者会把自己的设备放置在网络连接的两台设备中间,以此来监听它们之间的通信,当然这个中间位置是逻辑上的而不是物理位置。攻击者就像是一个间谍,它不断从一个设备接收信息,解读之后再转发给另一个设备。在这个过程中两个设备之间的通信并没有中断,因此它们完全不会发觉多了一个"中间人" 本文内容: 中间人攻击的相关理论; 使用Wireshark专家系统分析中间人攻击; 发起中间人攻击; 如何防御中间人攻击。 7.1 中间人攻击的相
【网络安全】一文带你了解什么是【中间人攻击
最新发布
xingyu_qie的专栏
06-28 1928
中间人攻击(Man-in-the-Middle Attack,简称MITM)是一种网络攻击方式,攻击者在通信的双方之间插入自己,并充当中间人,能够拦截、篡改或伪造通信内容。具体来说,中间人攻击通常包括以下几个步骤拦截通信:攻击者通过各种手段(如Wi-Fi嗅探、DNS篡改等)截获通信双方之间的数据流。伪装身份:攻击者伪装成通信的一方,与另一方建立连接,使得双方都认为自己是在与合法的通信对象进行交流。篡改或窃取数据:一旦成功插入通信链路,攻击者可以读取、修改、删除或伪造传输的数据。
wireshark捕获不到东西_Wireshark中间人攻击分析
weixin_35981295的博客
12-30 612
环境就是用的 w4sp-lab?https://www.cnblogs.com/yichen115/p/12603295.htmlARP中间人攻击首先 sudo python w4sp_webapp.py,把环境拉起来,然后访问 127.0.0.1:5000在一个新的终端里面打开 msf(命令:sudo msfconsole),使用:use auxiliary/spoof/arp/ar...
6. WireShar学习-使用WireShark分析链路层攻击
Daylight
07-12 799
6. 使用WireShark分析链路层攻击 据统计,目前网络安全的问题有80%来自于"内部网络" ,很多黑客也将攻击目标从单纯的计算机转到了网络结构和网络设计上来。因为链路层是内部网络通信最为重要的协议,而交换机正是这一层的典型设备,所以我们的讲解以交换机为例。但是相比起其他网络设备来说,交换机的防护措施往往也是最差的,因此也经常成为黑客攻击的目标。 内容: 针对交换机的常见攻击方式: 使用macof发起MAC地址泛洪攻击; 使用统计功能分析针对交换机的攻击; 如何防御MAC地址泛洪攻击。 6.1针对交
wireshark抓包协议解读及ARP攻击和泛洪攻击.docx
05-19
【ARP攻击】ARP攻击,即中间人攻击,利用了ARP协议的缺陷。ARP负责将IP地址转换为MAC地址,攻击者通过发送虚假的ARP响应,将目标主机的流量重定向到攻击者,从而实现数据拦截。在描述中,展示了如何在Kali Linux上...
wireshark网络分析实践视频笔记.docx
08-26
- **ARP欺骗数据包捕获**:Wireshark能够捕获并解析ARP欺骗相关的数据包,帮助识别网络中的中间人攻击。 ### 4. 链路层安全 链路层是网络模型的第二层,涉及MAC地址和物理连接。以下是一些常见的链路层安全问题: ...
wireshark网络封包分析软件64
03-30
6. **安全检测**:在网络安全方面,Wireshark可以帮助识别潜在的攻击,如嗅探、中间人攻击、密码泄露等。 7. **故障排查**:对于网络故障,Wireshark可以通过分析通信过程中的错误信息,帮助定位问题所在。 8. **...
使用wireshark 抓取并解密https分析报告
07-16
1. **中间人攻击**:这种方式涉及到网络层面的复杂操作,对于一般用户来说较为困难。 2. **设置Web服务器使用RSA作为交换密钥算法**:这种方式需要服务器端的支持。 3. **使用Chrome或Firefox浏览器**:通过设置导出...
ARP欺骗与中间人欺骗实验
11-05
### ARP欺骗与中间人攻击实验 #### 实验背景与意义 ARP(Address Resolution Protocol)欺骗是一种常见的网络攻击手段,通过篡改局域网内主机之间的ARP缓存表,使网络数据包流向攻击者,从而实现窃听、篡改数据等...
物联网安全使用Wireshark分析网络数据包.pdf
09-13
6. **实验误差分析**:虽然实验未能直接捕获到未加密的密码,但这是一个很好的学习机会,使学生了解到真实世界中的安全实践,如SSL/TLS加密在防止中间人攻击和数据泄露方面的作用。 7. **实验心得与反思**:实验者...
电子科技大学网络安全协议实验报告TLS配置和流量分析实验.docx
01-05
分析过程中,可以查看连接建立的过程,检查握手协议的交互,验证证书的有效性,以及检测潜在的加密漏洞或中间人攻击实验中,学生应通过模拟真实环境,实际操作Apache服务器的HTTPS配置,并使用抓包工具分析TLS...
中山大学WEB安全FTP协议分析实验
01-16
- **HTTPS**:使用HTTPS(FTP over SSL/TLS)可以实现数据加密,有效保护用户认证信息,防止中间人攻击。 - **FileZilla和cutFTP**:这些FTP客户端支持SFTP(SSH File Transfer Protocol)或FTPS,提供了安全连接,...
ARP地址欺骗实验报告.doc
03-27
通过这样的实验,学生能够深入理解ARP协议的工作机制,同时了解到网络安全中可能存在的威胁,如中间人攻击,从而提高对网络安全问题的警觉性。此外,实验还强调了网络监控和分析的重要性,这对于预防和检测网络攻击...
ARP缓存中毒实验报告.docx
10-15
一旦攻击得逞,不仅可能导致拒绝服务(DoS)攻击,使得数据包无法到达预期目标,还可能实施中间人攻击,使得攻击者能拦截和分析网络流量,对敏感信息构成威胁。 为了防御ARP缓存中毒,可以采取以下措施: - 使用ARP...
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 5059
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
计算机网络实验Wireshark实验
热门推荐
Tgmmmmmmmm的博客
01-08 1万+
计算机网络实验Wireshark实验) 文章目录计算机网络实验Wireshark实验)前言Wireshark 实验Wireshark基本使用数据链路层实作一:Ethernet帧结构实作二:子网内/外通信时MAC地址实作三:掌握ARP解析过程网络层实作一:IP包结构实作二:ip包的分段与重组实作三:考察TTL时间传输层实作一:熟悉TCP与UPD段结构实作二:分析TCP建立与释放连接应用层实作一:DNS解析实作二:HTTP请求和应答小结 前言 计算机网络是计算机课程中核心的一门,有了他我们的计算机不再只是自
Wireshark分析谁是攻击者,做了什么事
JoJo
11-26 1691
确定谁访问谁 大致浏览,发现是一些随机端口在访问固定端口80,可以猜测被访问地址是192.168.10.5:80,先设置条件过滤一下 过滤后再次浏览,发现是很多tcp协议,夹杂着少量http,先从少的开始看,设置过滤条件 发现是不同的地址向同一个web服务器在用get/post方式上传文件,get多,post少,再次设置过滤 明显看到192.168.10.5:80被上传了.php文件,命名很贴心地用了:小马,打开看看 由此可确定,攻击者是116.99.45.41,通过post请求的方式向192.
理解ARP欺骗:从实验到原理分析
ARP欺骗是一种针对TCP/IP协议栈的安全威胁,攻击者可以通过操纵ARP映射来中断或中间人攻击网络通信。实验中会涵盖如何防止和检测此类攻击。" 在局域网网络数据传输中,数据帧是基于MAC地址进行转发的。交换机作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值